Eu tinha instalado o tcpdump no debian 8 através do comando apt-get. Quando tento gravar pacotes em uma interface de monitoramento que obtém pacotes via porta SPAN com o seguinte comando "tcpdump -i interface -nn -c 25" posso ver o tráfego indo para um servidor web e servidor web voltando para o cliente.
No entanto, quando tento gravar esses pacotes em um arquivo como "tcpdump -i interface -nn -w file.pcap -s 0" e, em seguida, tentar ler o arquivo como "tcpdump -i interface -r file.pcap 'host xxxx'" Eu posso ver apenas um lado da comunicação. Esse é o servidor respondendo de volta ao cliente. Alguém já enfrentou essa situação antes?
Eu sei que ambos os lados da conversa são registrados no arquivo .pcap porque eu sou capaz de recuperar ambos os lados da conversa via tshark, mas não via tcpdump.
Tags networking tcpdump